Hacking facili facili grazie ai motori di ricerca

Partendo da un tweet di robconery che mostra quanto sia facile bucare database grazie alla sbadataggine di qualche sviluppatore, ho fatto un po’ di prove e ho esteso il concetto.

 

Ottenere la password di sa e tutti gli altri dati necessari per connettersi ad un db (molti risultati riportano db locali, ma basta spulciarseli per trovare gradite sorprese)

http://google.com/codesearch?q=sa+connectionstring+file%3Aweb.config
http://google.com/codesearch?q=sa+connectionstring+file:app.config

Se poi vi interessano username le password in generale:

http://google.com/codesearch?q=password+connectionstring+file%3Aweb.config
http://google.com/codesearch?q=password+connectionstring+file%3Aapp.config

 

Qualche phpMyAdmin aperto senza nessuna protezione, e con l’utente root configurato puo’ fare sempre comodo:

http://www.google.it/search?q="running+on+localhost+as+root"+intitle%3Aphpmyadmin

Se poi non si e’ interessati all’account di root ma solo ad un generico account, basta modificare la query. Magari anche altri accout hanno ottimi permessi di accesso:

http://www.google.it/search?q="running+on+localhost+as"+intitle%3Aphpmyadmin

Inoltre ci sono altri articoli che mostrano qualche trucchetto interessante, sempre su questa falsariga:

10 originali tecniche di hacking con Google

Leave a Reply